Trustwave周二发布的《2017全球安全报告》显示，几乎每个Web应用程序至少存在1个漏洞。Trustwave通过扫描发现，其中99.7%的应用至少存在一个漏洞，Web应用中的平均漏洞数量为11个。

　　数据泄露调查

　　除了调查应用安全，这份报告还包括数据泄露信息。
 

　　入侵检测花费的平均时间，2015年为80.5天，2016年为49天。但是，内、外部入侵检测的时间存在差异：

　　内部检测到入侵的平均时间为16天。

　　外部检测到入侵的平均时间为65天。

　　Trustwave调查了2016年影响21个国家几千个地区的数据泄露事件，得出的结论是：

　　美国受到重挫，数据泄露发生概率为49%，

　　亚太地区为21%

　　欧洲、中东和非洲为 20%

　　拉丁美洲和加勒比地区为10%

　　数据泄露的影响

　　22%的数据泄露事件影响了零售业，其次是食品和饮料行业(20%)

　　63%的数据泄露事件针对支付卡数据，磁条数据为33%，无卡交易(CNP)为30%

　　涉及销售点(POS)系统的数据泄露事件在北美最为常见，欧陆卡、万事达卡和威士卡(EMV)已经放慢脚步将POS系统用于支付卡的芯片标准。
 

　　零售业遭遇的入侵事件最多可能是因为，销售点(POS)系统的安全事件增加，这类事件从2015的22%增加到2016年的31%。电子商务安全事件减少12%。此外，最具风险的数据为支付卡信息。

　　成本低廉、恶意攻击泛滥

　　报告还发现，在某些情况下，0day漏洞正为攻击者创造丰厚的收入。报告引用了其中一起案例，一个未披露的Windows 0day漏洞及其漏洞利用代码的价格为9.5万美元(约合64.9万元)。

　　此外，恶意广告为网络犯罪分子提供大发横财的机会。只需要花上34元，犯罪分子就能通过恶意广告感染1000台易受攻击的电脑。

　　除此之外，恶意软件规避检测的能力得到提升，检测恶意软件的难度增加。

　　Trustwave测试的恶意软件样本中，83%通过混淆处理隐藏身份。36%的恶意软件使用了加密技术。

　　如今，越来越多的垃圾电子邮件也在利用恶意软件。2016年，35%的垃圾信息包含恶意软件，相比2015年增加了3%。在所有测试的接收的电子邮件中，约有60%被归为垃圾邮件，这项数据相比2015年增加了6%。

　　总结报告的主要发现

　　99.7%的Web应用程序至少存在一个漏洞;

　　49%的数据泄露事件发生在北美;

　　最具风险的数据为支付卡信息;

　　受挫最严重的行业为零售业;

　　恶意软件的检测难度增加;

　　越来越多的垃圾电子邮件正利用恶意软件。

(责任编辑：宋编辑)